Da freut sich der EU-Budgetverantwortliche. Die Strafen und Geldbußen von Unternehmen und Geschäftsführern im Zusammenhang mit der NIS-2-Richtlinie können erheblich sein und variieren je nach Land und Art des Verstoßes. In der Europäischen Union können die Strafen bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes eines Unternehmens betragen, je nachdem, welcher Betrag höher ist. Bei schwerwiegenden Verstößen können die Bußgelder sogar 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes erreichen.
Anforderungen und Sanktionen
Die NIS-2-Richtlinie erweitert die Cybersicherheitsanforderungen und die Sanktionen, um das Sicherheitsniveau in den Mitgliedstaaten zu harmonisieren und zu verbessern. Sie enthält strengere Anforderungen für verschiedene Sektoren. Unternehmen und Organisationen müssen sich unter anderem mit den Themen Cyber-Risikomanagement, Kontrolle und Überwachung sowie Umgang mit Zwischenfällen und Geschäftskontinuität befassen. Die Richtlinie erweitert auch die Zahl der Organisationen, die in den Anwendungsbereich fallen. Für die Geschäftsleitung der betroffenen Organisationen gelten strengere Haftungsregeln.
Zeitplan für Österreich
Die NIS-2-Richtlinie trat am 16. Jänner 2023 in Kraft und ersetzt die bisherige Richtlinie zur Netz- und Informationssicherheit (NIS-Richtlinie). Sie regelt die Cyber- und Informationssicherheit von Unternehmen und Institutionen in der EU. Bis Oktober 2024 müssen die EU-Mitgliedsstaaten diese in nationales Recht überführen. In Österreich bedarf auch die bestehende Systematik rund um das NISG einer Anpassung.